Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • Microsoft Windows 2000 Service Pack 4 ;
  • Microsoft Windows XP Service Pack 2 ;
  • Microsoft Windows Server 2003 ;
  • Microsoft Windows Server 2003 Service Pack 1.

Des versions de Windows qui ne sont plus officiellement maintenues par Microsoft peuvent aussi être affectées.

Résumé

Des vulnérabilités ont été identifiées dans le service Client pour NetWare (ou Client Service for NetWare CSNW) de Microsoft Windows. Une personne qui exploiterait celles-ci à distance pourrait, sous certaines conditions, exécuter des commandes arbitraires, ou perturber le service.

Description

Des vulnérabilités ont été identifiées dans le service Client pour NetWare (ou CSNW). CSNW permet un échange d'informations entre des machines Windows et des systèmes Novell NetWare (service d'impression, de stockage, etc). Ce service peut aussi s'appeler Gateway Service pour NetWare (GSNW) avec Windows 2000 Server.

Une personne malveillante pourrait construire des paquets particuliers, afin d'exploiter l'une de ces vulnérabilités. Si le système distant est vulnérable, la mauvaise manipulation des données reçues pourrait alors provoquer l'exécution de code arbitraire., ou perturber le service.

Solution

Se référer au bulletin de sécurité MS06-066 de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation